ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する
[ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
参考
この設定は、ドメイン メンバーによって開始されるすべてのセキュリティで保護されたチャネルのトラフィックが最低限のセキュリティ要件を満たしているかどうかを決定します。具体的には、ドメイン メンバーによって開始されるすべてのセキュリティで保護されたチャネルのトラフィックを署名する必要があるかどうかを決定します。セキュリティで保護されたチャネル経由で送信されるログオン情報は、その他のすべてのセキュリティで保護されたチャネルのトラフィックの暗号化がネゴシエートされるかどうかに関係なく、常に暗号化されます。
次のポリシー設定は、セキュリティで保護されたチャネルのトラフィックを署名または暗号化する機能を持たないドメイン コントローラーとの間でセキュリティで保護されたチャネルを確立できるかどうかを決定します。
ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する
[ドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する] を [有効] に設定すると、すべてのセキュリティで保護されたチャネルのデータを署名または暗号化できないドメイン コントローラーとの間でセキュリティで保護されたチャネルを確立できません。
認証トラフィックを man-in-the-middle 攻撃、再生攻撃、その他の種類のネットワーク攻撃から保護するため、Windows ベースのコンピューターでは、セキュリティで保護されたチャネルと呼ばれる、NetLogon を通じた通信チャネルを作成します。これらのチャネルは、コンピューター アカウントを認証します。リモート ユーザーがネットワーク リソースに接続して、信頼されているドメインにそのユーザー アカウントが存在するときは、ユーザー アカウントも認証します。これはパススルー認証と呼ばれ、ドメインに参加している Windows オペレーティング システムを実行するコンピューターは、そのドメイン内と信頼されているすべてのドメイン内のユーザー アカウント データベースにアクセスできます。
[ドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する] ポリシー設定を有効にすると、[ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する] ポリシー設定が自動的に有効になります。
デバイスがドメインに参加すると、コンピューター アカウントが作成されます。ドメインに参加した後、デバイスは再起動するたびに、そのアカウントのパスワードを使用して、そのドメインのドメイン コントローラーとの間でセキュリティで保護されたチャネルを作成します。このセキュリティで保護されたチャネルは、NTLM パス スルー認証や LSA SID/名前検索といった操作を実行するために使用されます。セキュリティで保護されたチャネルで送信される要求は認証されます。パスワードなどの機密情報は暗号化されますが、チャネルの整合性は確認されません。すべての情報が暗号化されるわけではありません。システムがセキュリティで保護されたチャネルのデータを常に暗号化または署名する場合、すべてのセキュリティで保護されたチャネルのトラフィックを署名または暗号化できないドメイン コントローラーとの間でセキュリティで保護されたチャネルを確立できません。可能な場合、セキュリティで保護されたチャネルのデータを暗号化または署名するようにコンピューターを構成すると、セキュリティで保護されたチャネルを確立できますが、暗号化と署名のレベルはネゴシエートされます。
設定可能な値
有効
ドメイン メンバーは、すべてのセキュリティで保護されたチャネルのトラフィックの署名を要求します。ドメイン コントローラーがすべてのセキュリティで保護されたチャネルのトラフィックの署名をサポートする場合、すべてのセキュリティで保護されたチャネルのトラフィックが署名され、転送中に改ざんできないようにします。
無効
ポリシーの [ドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する] が有効な場合を除き、署名はネゴシエートされません。
未定義
ベスト プラクティス
[ドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する] を [有効] に設定します。
[ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化する] を [有効] に設定します。
[ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する] を [有効] に設定します。
注
ドメイン メンバーのその他の 2 つのポリシー設定 [ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化する] と [ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する] を以前のバージョンのクライアントおよびアプリケーションに影響を与えずに、これらのポリシー設定をサポートするドメインに参加しているすべてのデバイスで有効にすることができます。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
有効 |
スタンドアロン サーバーの既定の設定 |
有効 |
DC の有効な既定の設定 |
有効 |
メンバー サーバーの有効な既定の設定 |
有効 |
クライアント コンピューターの有効な既定の設定 |
有効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
グループ ポリシー
グループ ポリシーを使ってこのポリシーを配布しても、ローカル セキュリティ ポリシー設定は上書きされません。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
デバイスがドメインに参加すると、コンピューター アカウントが作成されます。ドメインに参加した後、デバイスは再起動するたびに、そのアカウントのパスワードを使用して、そのドメインのドメイン コントローラーとの間でセキュリティで保護されたチャネルを作成します。セキュリティで保護されたチャネルで送信される要求は認証されます。パスワードなどの機密情報は暗号化されますが、チャネルの整合性は確認されません。すべての情報が暗号化されるわけではありません。セキュリティで保護されたチャネルのデータを常に暗号化または署名するようにデバイスを構成しているのに、ドメイン コントローラーがセキュリティで保護されたチャネルのデータの任意の部分を署名または暗号化できない場合、コンピューターとドメイン コントローラーはセキュリティで保護されたチャネルを確立できません。可能な場合、セキュリティで保護されたチャネルのデータを暗号化または署名するようにコンピューターを構成すると、セキュリティで保護されたチャネルを確立できますが、暗号化と署名のレベルはネゴシエートされます。
対策
これらのポリシーは密接に関連していて、環境によっては便利であるため、次の設定のいずれかを適宜選択し、可能なときにはセキュリティで保護されたチャネルのデータを暗号化または署名するようにドメイン内のデバイスを構成します。
ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する
考えられる影響
セキュリティで保護されたチャネルのデジタル署名は、ドメイン コント ローラーに送られると、セキュリティで保護されたチャネルがドメイン資格情報を保護するのでお勧めします。